OpenSSL創建私有CA
----------------------------------------------------
1、爲CA生成一個私鑰
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 生成私鑰
2、生成自簽證書
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
CN
GD
SZ
LT
JSB
ca.litao.com
openssl x509 -text -in /etc/pki/CA/cacert.pem 顯示證書信息
3補充必要的輔助文件:
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
----------------------------------------------------
客戶機請求:
創建自己http的私鑰
(umask 077; openssl genrsa -out /etc/http/httpd.key 2048)
生成申請:
openssl req -new -key /etc/http/httpd.key -out /etc/http/httpd.csr -days 3650
CN
GD
SZ
LT
JSB
ca.litao.com
與CA的保持一致
傳到服務器
服務器簽署證書:
我們自己創建好的CA所在的主機,接收到別人發來的證書籤署請求後,執行如下命令,即可簽署證書,生成證書文件。
openssl ca -in /路徑/httpd.csr -out /路徑/httpd.crt -days 3650
y
y